NetBackup IT Analytics 安全和加密参考

Last Published:
Product(s): NetBackup IT Analytics (11.4)

通过单点登录 (SSO) 进行用户身份验证

NetBackup IT Analytics 支持使用单点登录 (SSO) 进行标准的统一登录。通过外部身份管理服务器执行用户身份验证,从而提高用户密码和身份详细信息的安全级别。因此,单点登录需要启用了 SSL 的 NetBackup IT Analytics 门户、外部身份提供程序 (IDP) 和外部 LDAP 目录。

单点登录 (SSO) 前提条件

  • 必须使用具有以下属性的 SSL 证书为 NetBackup IT Analytics 门户启用 SSL(https 协议):

    • 签名算法名称:SHA256 with RSA

    • 主题公钥算法:2048 位 RSA 密钥

  • 支持 SAML 2.0 的外部身份提供程序 (IDP)

  • 必须使用 Keystore 实用程序 (deployCert) 将 SSL 证书添加到门户 Keystore 中

设置外部身份提供程序 (IDP) 服务器

为使 IDP 与 NetBackup IT Analytics 门户进行通信,需在外部服务器上配置 LDAP 目录以进行用户管理。必须为将要登录门户的每个用户填充某些属性。用户还必须至少属于一个组。

外部 LDAP 目录中的用户和组

在外部 LDAP 目录中为每个用户设置以下属性。对于每个属性,必须存在 namefriendlyName 属性并且已填充值。这些属性必须同时由外部 LDAP 目录和 IDP 服务器公开。属性的名称如下:

  • displayName:<first_name> <last_name>,例如 Jane Smith

  • email:电子邮件地址

  • mobile:手机号码

  • telephoneNumber:工作电话或住宅电话号码

  • sAMAccountName:用作登录名的唯一用户名

  • memberOf:用户所属的组名称列表。

    注意:

    属性 memberOf 需要对 Microsoft Azure IDP 进行自定义。建议为“memberOf”属性设置“分配给应用程序的组”,而不是“所有组”“安全组”。有关更多详细信息,请单击此处

外部用户必须属于一个外部目录组,且该目录组也作为用户组存在于 NetBackup IT Analytics 门户之中,只有在这种情况下外部用户才可以使用 SSO 登录门户。如果满足设置条件,则用户首次登录门户时,用户配置文件将从外部目录进行同步。用户还将继承分配给该用户组的所有权限。

在 IDP 服务器中注册

在 NetBackup IT Analytics 门户与 IDP 服务器之间交换元数据 XML 文件,可以实现注册过程。在门户端,只要配置了 SSO 并重新启动 Portal Tomcat 服务,就可以下载元数据 XML 文件并将其提供给 IDP 服务器。此文件包含 SSL 证书,并可将 NetBackup IT Analytics 标识为 SSO 的服务提供程序。必须从 IDP 服务器下载相似的元数据 XML 文件并将其提供给门户。

请参见《NetBackup IT Analytics 系统管理指南》中的“使用安全声明标记语言 (SAML) 配置单点登录 (SSO)”